`
weigang.gao
  • 浏览: 491759 次
  • 性别: Icon_minigender_1
  • 来自: 上海
文章分类
社区版块
存档分类
最新评论

SQL注入原理及PreparedStatement的使用

 
阅读更多

 

SQL注射原理

 

SQL 注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用 SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一 起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向Web应用输入数据,而且还可以在数据库上执行任意命令了。

 

1.登陆验证

现 在以一个需要用户身份认证的简单的Web应用程序为例进行讲解。假定这个应用程序提供一个登录页面,要求用户输入用户名和口令。用户通过HTTP请求发送 他们的用户名和口令,之后,Web应用程序检查用户传递来用户名和口令跟数据库中的用户名和口令是否匹配。这种情况下,会要求在SQL数据库中使用一个数 据库表。

对一个用户进行认证,实际上就是将用户的输入即用户名和口令跟表中的各行进行比较,如果跟某行中的用户名和口令跟用户的输入完全匹配,那么该用户就会通过认证。

假如后台的sql语句时这样拼接的

select id from test where username='"+myname+"' and password='"+mypasswd+"' ";

表面上看,如果用户名和口令对匹配,那么该用户通过认证;否则,该用户不会通过认证——但是,事实果真如此吗?非也!读者也许已经注意到了,这里并没有对SQL命令进行设防,所以攻击者完全能够在用户名或者口令字段中注入SQL语句,从而改变SQL查询 。为此,我们仔细研究一下上面的SQL查询字符串:

上述代码认为字符串username和password都是数据,不过,攻击者却可以随心所欲地输入任何字符 。如果一位攻击者输入的用户名为

’OR 1=1 --

而口令为

x

双划符号--告诉SQL解析器,右边的东西全部是注释,所以不必理会。这样,查询字符串相当于:

select id from test where username='' or 1=1;

如 今的SELECT语句跟以前的已经大相径庭了,因为现在只要用户名为长度为零的字符串''或1=1这两个条件中一个为真,就返回用户标识符ID——我们知 道,1=1是恒为真的。所以这个语句将返回user_table中的所有ID。在此种情况下,攻击者在username字段放入的是SQL指令 'OR1=1--而非数据。

更为严重的情况是当username对应的是'OR1=1;DROPTABLEuser_table;--

数据库中执行的sql语句就变成了:

select id from test where username='' or 1=1;drop table test

这个语句将执行句法上完全正确的SELECT语句,并利用drop命令清空test表。

应对策略

问题的关键就是不要用string构造sql语句,这样就不会利用输入的参数构造sql语句了。所以要用PreparedStatement替换Statement,即用占位符作为实参定义sql语句,从而避免sql注入攻击(使用PreparedStatement时 会先将sql 语句预处理一下并存放于内存中,占位符区域 只会当成参数,不会成为sql的一部分。而使用statement时候,由于要先构造好sql(参数已包含),然后一直执行,所以如果传的参数里面带有sql指令,同样可以被执行)。

不管什么框架,还是纯JDBC,只用Preparedstatement,一定要用占位符作为实参来构造sql(或hql)语句。

String sql= "select * from test where usernmae=? and password=? " ;
PreparedStatement psm=conn.preparedStatement(sql);
psm.setString(1,myname);
psm.setString(2,mypasswd);
Result rs=psm.executeQuery();
 

if (rs.next){
rs.close();
con.close();
return false ;
}
else {
rs.close();
con.close();
return true ;
}

 

分享到:
评论

相关推荐

    sql注入原理简介

    在Web开发中,预防SQL注入的常用方法包括使用PreparedStatement、使用存储过程、对所有输入进行验证,以及使用ORM框架等。通过这些技术手段,可以有效地阻止恶意用户通过SQL注入攻击的方式,获取敏感数据或破坏...

    SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)

    SQL注入是一种严重的安全威胁,它...综上所述,理解SQL注入的原理并采取相应的防护措施是确保应用程序安全的关键。Spring Boot通过提供JdbcTemplate和Spring Data JPA等工具,为开发者提供了防止SQL注入的有效手段。

    SQL注入过滤 (Java版)

    但是,结合过滤器使用可以提供额外的安全层,防止未使用PreparedStatement的场景下出现SQL注入漏洞。 总之,Java中的SQL注入过滤器是保护应用程序免受SQL注入攻击的重要手段之一。通过在请求处理前对参数进行检查和...

    SQL注入源码+SQL注入命令

    正确的方法是使用参数化查询,例如预编译的`PreparedStatement`,以防止SQL注入: ```java String sql = "SELECT * FROM users WHERE id=?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt....

    java防sql注入攻击过滤器

    5. **使用预编译的SQL语句(PreparedStatement)**:除了过滤器之外,还应该使用PreparedStatement来执行SQL查询,因为它们可以自动防止基本的SQL注入攻击。预编译的语句会将参数与SQL语句分开处理,从而消除大部分...

    sql注入和防SQL注入

    **SQL注入原理** SQL注入是由于应用程序没有充分过滤用户输入的数据,使得这些数据可以直接与数据库查询语句结合,从而执行非预期的数据库操作。例如,一个简单的用户登录接口可能使用如下SQL查询: ```sql SELECT ...

    防止sql注入demo

    - 使用预编译语句(PreparedStatement):这是防止SQL注入最常用的方法。预编译语句会将用户输入与SQL语句分离,确保即使输入含有恶意代码,也不会被执行。例如: ```java String query = "SELECT * FROM users ...

    SQL注入漏洞全接触

    SQL注入攻击的基本原理是利用编程中的错误或疏忽,使得恶意用户能够将自定义的SQL代码插入到正常的查询中。例如,在描述中的例子中,攻击者在URL中添加一个单引号 `'`,导致查询失败并返回数据库引擎的错误信息。...

    SQL注入技术.ppt

    1. **不使用预编译的PreparedStatement对象**:在Java Web开发中,推荐使用PreparedStatement来处理SQL查询,因为它可以防止SQL注入。当使用字符串拼接方式构建SQL语句时,如`"select * from foodinfo where foodId ...

    SQL手工注入完全篇

    在本完全篇中,我们将深入探讨SQL注入的基本原理、常见手法、防范措施以及如何进行安全编码。 一、SQL注入基本概念 SQL注入是攻击者通过在输入字段中插入恶意的SQL代码,使得原本的数据库查询语句发生变化,从而...

    DB2数据库SQL注入语句

    首先,SQL注入的基础原理是通过在合法的SQL查询语句中嵌入恶意代码,以改变原本的查询逻辑。在给定的示例中,攻击者试图猜解用户表的数量、表的长度、表的第一个字符的ASCII码、列的数量以及列的第一个字符的ASCII码...

    Jsp防SQL注入

    理解SQL注入原理 SQL注入是通过在用户输入的数据中插入SQL语句片段,使得原本的查询语句结构发生变化,从而执行攻击者预设的数据库操作。例如,一个简单的用户登录表单可能接收用户名和密码,如果没有进行安全处理...

    web安全之sql注入

    为了更好地理解SQL注入的工作原理及防范措施,我们可以尝试在本地环境中模拟这种攻击。一种常用的方法是搭建LAMP或WAMP环境,这通常包括Apache服务器、MySQL数据库和PHP脚本语言。这些工具组合起来可以快速搭建一个...

    SQL注入原理与解决方法代码示例

    1. SQL注入原理: 当用户输入的数据未经验证或过滤直接拼接到SQL查询中时,攻击者可以通过输入特定的字符串来改变查询的逻辑。例如,通常的登录验证查询可能是这样的: ```sql SELECT * FROM users WHERE ...

    sql注入与防止

    #### 二、SQL注入的工作原理 1. **数据提交**:攻击者通常会在Web表单、URL参数或其他输入字段中插入恶意SQL语句。 2. **语句拼接**:应用程序会将用户提交的数据拼接到SQL查询语句中,然后发送给数据库执行。 3. *...

    SQL注入介绍与原理分析

    SQL注入是一种常见的网络安全威胁,它主要针对使用SQL(结构化查询语言)的数据库管理系统。攻击者通过在输入字段中插入恶意的SQL代码,试图绕过应用程序的安全控制,从而获取未授权的数据、修改数据、甚至完全控制...

    SQL注入神器

    了解和掌握SQL注入的原理以及如何防范和检测是网络安全的重要一环。 首先,让我们深入了解SQL注入的原理。当Web应用程序没有正确地过滤或转义用户输入的数据时,这些数据可以直接被解析为SQL命令的一部分。攻击者...

    4、SQL注入漏洞pdf资料

    SQL注入的原理是使用某些手段,在原来的SQL语句基础上,添加了一段SQL并执行。攻击者可以使用SQL注入来获得数据库中的敏感信息,例如数据库名、表名、列名和数据等。 三、SQL注入的类型 SQL注入可以分为两种类型:...

    Sql注入原理简介_动力节点Java学院整理

    SQL注入是一种常见的网络安全威胁,主要针对使用SQL(结构化查询语言)操作数据库的应用程序。攻击者通过在输入字段中插入恶意的SQL代码,欺骗服务器执行非预期的数据库操作,从而获取敏感信息、篡改数据甚至破坏...

    SQL注入+JSP+HTML+JavaBean

    1. **SQL注入原理**:当用户输入的数据未经验证或转义直接拼接到SQL查询语句中,攻击者可以通过构造特定的输入,使得SQL语句执行非预期的操作,如读取、修改、删除数据库记录。 2. **危害**:数据泄露、权限提升、...

Global site tag (gtag.js) - Google Analytics